如何:使用 X.509 憑證設定 ACS 與 ASP.NET Web 應用程式之間的信任
更新日期:2015 年 6 月 19 日
適用對象:Azure
套用至
Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS)
ASP.NET
總結
本主題描述如何設定應用程式與 ACS 之間的信任。 信任是藉由簽署 ASP.NET Web 應用程式和 ACS 之間交換的權杖來建立。
目錄
目標
概觀
步驟摘要
步驟 1 – 瀏覽至權杖簽署憑證區段
步驟 2 - 使用 X.509 憑證設定信任
步驟 3 - 在 web.config 和 ACS 管理入口網站中檢閱信任相關屬性
目標
熟悉 ACS 管理入口網站上的信任管理一節。
使用 X.509 憑證管理信任。
在 web.config 中和管理入口網站上確認必要的組態。
概觀
您必須建立信任,才能正確交換應用程式與 ACS 之間的權杖。 信任可確保權杖不會在傳輸時遭到竄改,並且是由受信任的一方所簽發。 對於 ASP.NET Web 應用程式信任是使用 X.509 憑證進行管理,且是以 ACS 管理入口網站和web.config設定為基礎。
步驟摘要
若要建立和管理 ASP.NET Web 應用程式和 ACS 之間的信任,請遵循下列步驟:
步驟 1 – 瀏覽至權杖簽署憑證區段
步驟 2 - 使用 X.509 憑證設定信任
步驟 3 - 在 web.config 和 ACS 管理入口網站中檢閱信任相關屬性
步驟 1 – 瀏覽至權杖簽署憑證區段
此步驟說明如何流覽至 ACS 管理入口網站的 [信任管理] 區段。
瀏覽管理入口網站上與信任管理相關的區段
移至Microsoft Azure管理入口網站 (https://manage.WindowsAzure.com) 登入,然後按一下 [Active Directory]。 (疑難排解提示: 「Active Directory」專案遺失或無法使用)
若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。 (或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。
在 ACS 入口網站中,按一下 [ 信賴憑證者應用程式]。
按一下信賴憑證者應用程式。
在 [編輯信賴憑證者應用程式] 頁面上,向下捲動至 [權杖簽署憑證] 區段。
選取憑證。
步驟 2 - 使用 X.509 憑證設定信任
此步驟說明如何使用 X.509 憑證來設定和管理 ACS 與 ASP.NET Web 應用程式之間的信任。 如果您在信賴憑證者應用程式中使用 Windows ® Identity Foundation (WIF),請使用 X.509 憑證簽署認證。
使用 X.509 憑證設定及管理信任
移至Microsoft Azure管理入口網站 (https://manage.WindowsAzure.com) 登入,然後按一下 [Active Directory]。 (疑難排解提示: 「Active Directory」專案遺失或無法使用)
若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。 (或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。
按一下 [憑證和金鑰],然後選取 X.509 憑證。
在 [編輯權杖簽署憑證或金鑰] 頁面上,提供下列值:
名稱:您選擇的任意名稱。
類型: X.509 憑證。
憑證:若要使用 ACS 預設建立的憑證,不需要採取任何動作。 您也可以上傳自己的 X.509 憑證。
此憑證應受密碼保護。 它通常會有 .pfx 副檔名。 上傳您自己的 X.509 憑證時。在 [ 密碼 ] 文字方塊中提供 pfx 檔案密碼
密碼:如果您使用預設憑證,則不需要採取任何動作。 如果您上傳憑證,憑證應受密碼保護。 在 [密碼] 文字方塊中輸入 .pfx 檔案密碼。
按一下 [檔案] 。
取得 X.509 憑證
您可以透過數種方法取得權杖簽署或加密的 X.509 憑證。 您使用的方法取決於您的需求和組織的可用工具。
本機憑證授權單位
如果您的組織已部署憑證授權單位 (CA),例如 Active Directory 憑證服務 (AD CS),則您可以要求 X.509 憑證。 您可能需要連絡憑證授權單位管理員,以取得指示或權限。 如需 Active Directory 憑證服務的詳細資訊,請參閱 Active Directory 憑證服務 (https://go.microsoft.com/fwlink/?linkid=208371) 。
商業憑證授權單位
您可以向商業憑證授權單位 (例如 Verisign) 購買 X.509 憑證。 由於這是實驗室版本,建議您使用您的本機憑證授權單位 (如果可用),或產生自我簽署憑證 (說明如下)。
產生Self-Signed憑證
您可以使用軟體來產生自己的自我簽署憑證,以搭配 ACS 使用。 雖然這通常僅建議用於測試用途,但任何無法存取本機 CA 或購買商業 CA 的人,都可採用此方法。 如果您正在執行Windows,您可以下載MakeCert.exe作為Windows SDK () https://go.microsoft.com/fwlink/?linkid=84091 的一部分,並使用此方法來產生憑證。
匯出自我簽署憑證
如需如何匯出自我簽署憑證的指示,請參閱 憑證和金鑰。
步驟 3 - 在 web.config 和 ACS 管理入口網站中檢閱信任相關屬性
此步驟說明如何在您 ASP.NET Web 應用程式的 web.config 中驗證與信任相關的組態屬性。
在 ASP.NET Web 應用程式的 web.config 中驗證與信任相關的組態
開啟 ASP.NET Web 應用程式的 web.config 檔案。
流覽至audiencesUris節點,並確認其子新增節點的值與您在 ACS 管理入口網站的 [編輯信賴憑證者] 頁面的 [領域] 屬性欄位中輸入的值相同。
移至Microsoft Azure管理入口網站 (https://manage.WindowsAzure.com) 登入,然後按一下 [Active Directory]。 (疑難排解提示: 「Active Directory」專案遺失或無法使用)
若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。 (或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。
按一下 [信賴憑證者應用程式]。
在 [信賴憑證者應用程式] 頁面上,按一下所需的應用程式。
在 [編輯信賴憑證者應用程式] 頁面上,檢閱 [領域] 屬性。